ทดสอบความปลอดภัยเร้าท์เตอร์โอเอสของท่านเองด้วย WinboxExploit

ใช้สคริป WinboxExploit เจาะช่องโหว่ของ RouterOS เวอร์ชั่นเก่า

โลกนี้มันช่างโหดร้าย เมื่อช่วงสองเดือนที่ผ่านมา เราจะได้ยินข่าวคราวว่า มีการเจาะระบบเน็ตเวิร์คที่ใช้อุปกรณ์เร้าท์เตอร์โอเอส (ไมโครติก) กันอย่างโด่งดัง ซึ่งช่องโหว่นี้ เมื่อถูกประกาศออกมา ไมโครติกเองก็ได้รีบออกซอฟท์แวร์อัปเดทให้เราได้อย่างท่วงนี้ เช่นกัน เพื่อป้องกันการถูกโจมตีนี้

“Winbox Vulnerability” ช่องโหว่นี้ มันเกิดจากเจ้าเครื่องมือสำคัญของการเค้าไปคอนฟิกไมโครติก มันคือ Winbox นั่นเอง เหล่าแฮกเกอร์ใช้สคริปไพท่อน (ภาษาโปรแกรม Python) เขียนโปรแกรมไม่กี่บรรทัด ก็สามารถดึงเอาฐานข้อมูลผู้ใช้ user.dat ซึ่งถูกเก็บเป็นข้อความธรรมดา Plain text ทำให้เหล่าแฮกเกอร์ จะได้ทั้ง ชื่อผู้ใช้ (User) และ รหัสผ่าน (Password) สำหรับเข้าควบคุมเร้าท์เตอร์ของเราได้อย่างเด็ดขาดเลย

จากปัญหาที่เกิดขึ้นไมโครติกได้ประกาศ ให้ใครก็ตามที่ใช้เร้าท์เตอร์โอเอส (ไมโครติก) เวอร์ชั่นดังต่อไปนี้ ให้รีบแก้ไขโดยการอัปเดท โดยด่วน ดังนี้

Versions affected:

  • Affected all bugfix releases from 6.30.1 to 6.40.7, fixed in 6.40.8 on2018-Apr-23
  • Affected all current releases from 6.29 to 6.42, fixed in 6.42.1 on2018-Apr-23
  • Affected all RC releases from 6.29rc1 to 6.43rc3, fixed in 6.43rc4 onon2018-Apr-23

สรุปเวอร์ชั่นที่กระทบคือเวอร์ชั่น ตั้งแต่ 6.30.1 – 6.40.7 ซึ่งเราต้องอัปเดทเป็นเวอร์ชั่น 6.40.8 (ซึ่งเป็นเวอร์ชั่น BugFix นั่นเอง) ท่านจึงจะปลอดภัยจากเครื่องมือพิเศษที่ใช้โจมตีในครั้งนี้

ในส่วนของเวอร์ชั่น Current นั้น มีผลกระทบตั้งแต่เวอร์ชั่น 6.29-6.42 ดังนั้นเราต้องอัปเกรดเป็นเวอร์ชั่น 6.42.1 เป็นต้นไป แต่ใช้เวอร์ชั่นล่าสุด ณ ตอนนี้เลย คือ 6.42.6 ปลอดภัย

และเวอร์ชั่น RC (Release Candidate) 6.29rc1 – 6.43rc3 ใครที่ชอบลองยาก็อัปเดทเป็นเวอร์ชั่น 6.43rc4 ด้วยน่ะครับ จึงปลอดภัย

เรามาลองย้อนรอยทดสอบแฮกเร้าท์เตอร์ของเราเองกัน ด้วยเครื่องมื่อที่โด่งดัง มันคือ WinboxExploit นั่นเอง ซึ่งโปรแกรมนี้เขียนด้วยภาษางูเห่า หรือ Python นั่นเอง ดังนั้น เรามาดูกันว่า ถ้าเราจะทดสอบการใช้งานเครื่องมือนี้ เราจะต้องทำอย่างไร หรือ เตรียมอะไรบ้าง

เอาล่ะ จากปัญหานี้ ถึงแม้จะได้รับการแก้ไขเรียบร้อยแล้ว ดังนั้นในทุกๆ ครั้งที่เราติดตั้งใช้งานเจ้าเร้าท์เตอร์โอเอสนี้ เราจึงควรทดสอบด้วยว่า มันปลอดภัยแล้วจากเครื่องมือที่มีแจกตามอินเตอร์เน็ตที่ใช้ hack เร้าท์เตอร์เราหรือไม่ จึงเป็นที่มาของบทความนี้

สิ่งที่ต้องเตรียม มีดังนี้
1. โปรแกรมไพท่อน (Python) ซึ่งต้องใช้เวอร์ชั่น 3 ขึ้นไป
2. โปรแกรมคำสั่ง WinBoxExploit.py ซึ่งใช้ในการแฮกเอารหัสผ่านนั่นเอง

อันดับแรกเลย ไปดาวน์โหลดโปรแกรมไพท่อน (Python) มาก่อนเลย จากเว็บ https://www.python.org/downloads/ นี้เลยครับ แล้วคลิกดาวน์โหลดมาดังตัวอย่างภาพ

ดาวน์โหลดโปรแกรมไพท่อน 3

ดาวน์โหลดแล้วก็ติดตั้งเลยครับ ดับเบิลคลิกโปรแกรม python-3.7.0.exe แล้วก็ Next Next ไปเรื่อยๆ ลองดูน่ะ

เลือกติดตั้ง Install Now
รอ ระหว่างการติดตั้ง
คลิก Close ปิดหน้าต่าง ติดตั้งเสร็จแล้ว

จากนั้น เปิด Command Prompt (CMD) ขึ้นมาแล้วลองพิมพ์คำสั่ง py ดู ว่าใช้งานได้หรือไม่ ถ้าได้จะขึ้นดังภาพ

พิมพ์ py เพื่อทดสอบการทำงาน

ต่อมาขั้นตอนที่สอง ให้ดาวน์โหลดสคริปคำสั่ง pyhon มา คลิกจากตรงนี้เลย ผมเตรียมไว้ให้แล้ว คลิกดาวน์โหลด

ทำการแตก(คลาย)ไฟล์นี้ออกมา แล้วจะได้ดังนี้

ไฟล์ชื่อ WinboxExploit.py ตัวนี้แหละ

ถึงเวลาทดสอบได้แล้ว การทดสอบ ให้เราพิมพ์คำสั่งดังนี้ py WinboxExploit.py xxx.xxx.xxx.xxx (คือเลขไอพี หรือ ชื่อโฮสของเร้าท์เตอร์โอเอส) แล้วกด Enter เพื่อดูผล

ทดสอบ Exploit เร้าท์เตอร์โอเอส

จะเห็นว่า หากเราใช้เร้าท์เตอร์โอเอสเวอร์ชั่นเก่า เราจะถูกดึงข้อมูลออกมาได้อย่างง่ายดายเลยทีเดียว

ซึ่งเจ้าเครื่องมือนี้ นั้น มันทำงานผ่านช่องทางของ Winbox นั่นเอง ซึ่งทำงานที่พอร์ตเลขที่ 8291 ดังนั้นเราควรป้องกันการโจมตีด้วยเครื่องมือนี้ ตามคำแนะนำของไมโครติกด้วยนะครับ

เมื่อมีช่องโหว่ตรงนี้แล้ว เราจะป้องกันอย่างไร???

What do do:

1) Upgrade Winbox and RouterOS

2) Change your passwords. 

3) Firewall the Winbox port from the public interface, and from untrusted networks. It is best, if you only allow known IP addresses to connect to your router to any services, not just Winbox. We suggest this to become common practice. As an alternative, possibly easier, use the “IP -> Services” menu to specify “Allowed From” addresses. Include your LAN, and the public IP that you will be accessing the device from.

4) Use “Export” command to see all your configuration and inspect for any abnormalities, such as unknown SOCKS proxy settings and scripts. 

เปลี่ยนพอร์ต winbox และกำหนดไอพีที่อนุญาตให้เข้าใช้งาน

ส่วนสุดท้ายนี้คือ ส่วนที่ไมโครติกแนะนำให้เราทำการป้องกัน ลองทำตามนะครับ ผมสรุปวิธีการคร่าวๆ สำหรับการอัปเกรดมาให้ดังภาพด้านล่างนี้

สำหรับบทความนี้แค่นี้ก่อนนะครับ ขอให้ทุกท่านปลอดภัยจากการโจมตี และทดสอบระบบของตัวเองให้ปลอดภัยไว้เสมอนะครับ

อำนวย ปิ่นทอง
บริษัท โอติก เน็ตเวิร์ค จำกัด

One comment

Leave a Reply

อีเมลของคุณจะไม่แสดงให้คนอื่นเห็น ช่องข้อมูลจำเป็นถูกทำเครื่องหมาย *